Чужой опыт. "Тихое" подключение к пользователю внутри ActivDirectory
Суть.
Подключение к удаленному рабочему окну пользователя, при этом текущий сеанс связи у пользователя не обрывается. То есть режим, аналогичный подключению с помощью TeamViewer, но внутри Activ Directory (Windows Server 2012)
Пока конспект. Переосмысливать буду на следующей неделе.
В данный момент голова УЖЕ "не варит" ж:(((
[конспект присланного чужого опыта (КАК)]
From: Мін
Sent: Friday, June 19, 2015 3:10 PM
Subject: "Тихое" подключение к пользователю
Дополнительно кидаю мою переписку с человеком, который мне это посоветовал.
---
1.
Mstsc /shadow:1 /v:[HOST NAME] /control - удаленное подключение в текущую сессию пользователя
pc-support тут - имя компа
Permissions
In order to be able to perform Shadowing you need permissions. If no permissions are in place it will result in the error below.
image
Being local administrator on the destination server obviously works. However, to allow non-administrators permissions to shadow you can use the following command which
is also applicable for Windows Server 2008 R2 (Credits for this command go to fellow RDS MVP TP who posted this on TechNet Forum.
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "domain\group",2
Than concludes this blog post on the reintroduction or Remote Control (shadowing) in Windows Server 2012 R2.
http://blogs.technet.com/b/askperf/archive/2013/10/22/windows-8-1-windows-server-2012-r2-rds-shadowing-is-back.aspx
http://ryanmangansitblog.com/2014/01/23/shadowing-rds-2012-sessions/
локальные политики, "Full control without user`s permission"
-- 2. (переписка по поводу) --
[18.06.2015 11:23:15] Anton "Flar" Chernyshev: есишо дам скрипт в екзешнике тупо вызывающий окно ввода имени компа
[18.06.2015 11:23:26] Anton "Flar" Chernyshev: но в АД политику надо предварительно настроить разлить и применить
[18.06.2015 11:25:17] Evgeniy "Katarn" Minovskiy: Намного лучше самому разобраться и запустить, чем готовое.
[18.06.2015 11:28:08] Anton "Flar" Chernyshev: ну ты с АД лучше разберись.
[18.06.2015 11:28:16] Evgeniy "Katarn" Minovskiy: ех, не дадут мне внутринную переписку саппорта циклума почитать :)
[18.06.2015 11:28:31] Anton "Flar" Chernyshev: политика простая, изменяет одну настройку локальной политике
[18.06.2015 11:29:06] Evgeniy "Katarn" Minovskiy: НО. Если я на компе домена юзаю права учетки доменного админа, нужна ли мне политика?
[18.06.2015 11:29:22] Anton "Flar" Chernyshev: ты читал что написано в описании политики?
[18.06.2015 11:29:27] Anton "Flar" Chernyshev: эта фича по дефолту ОТКЛЮЧЕНА
[18.06.2015 11:29:41] Anton "Flar" Chernyshev: ты НЕ МОЖЕШЬ (кем бы ни бы) вламыватся в сессию текущего пользователя
[18.06.2015 11:30:01] Anton "Flar" Chernyshev: и надо её включит либо с разрешением подключения от юзера либо без разрешения
[18.06.2015 11:30:13] Anton "Flar" Chernyshev: проще всего включить политикой
Тох, сорри. Я не совсем понял, этот шадоувинг работает при тонких клиентах или конектиться к сессии юзверя домена (пофиг какой клиент, в т.ч. обычный пк)? Не хочу делать в тихаря, а представить начальству (фича то полезная).
[18.06.2015 12:00:14] Anton "Flar" Chernyshev: ну смари
[18.06.2015 12:00:17] Anton "Flar" Chernyshev: стоят два компа.
[18.06.2015 12:00:23] Anton "Flar" Chernyshev: оба в домене
[18.06.2015 12:00:35] Anton "Flar" Chernyshev: на одном из них залогинен ты, на втором вася пупкин
[18.06.2015 12:00:59] Anton "Flar" Chernyshev: ты находишься в группе, которая по правилам домена имеет права локального админа на всех компах
[18.06.2015 12:01:22] Anton "Flar" Chernyshev: вводишь в "выполнить" ту строчку
[18.06.2015 12:01:38] Anton "Flar" Chernyshev: у Васи вылазит окошко "К вам подключаются. Разрешить?"
"да", "нет"
[18.06.2015 12:01:54] Evgeniy "Katarn" Minovskiy: или через домен контроллер подключиться, так?
[18.06.2015 12:02:05] Anton "Flar" Chernyshev: что значит "через домен контроллер подключитсья"?
[18.06.2015 12:02:19] Evgeniy "Katarn" Minovskiy: http://blogs.technet.com/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-00-54-33-metablogapi/2480.clip_5F00_image002_5F00_thumb_5F00_496E1529.jpg
[18.06.2015 12:02:32] Anton "Flar" Chernyshev: вопервых, это 12я серверная
[18.06.2015 12:02:42] Evgeniy "Katarn" Minovskiy: у меня доменника 2 2008 и 2012
[18.06.2015 12:02:50] Anton "Flar" Chernyshev: во вторых, это работает, если сервак - терминальный сервак ,и на нём сидят юзеры.
[18.06.2015 12:03:01] Evgeniy "Katarn" Minovskiy: угу...теперь понял
[18.06.2015 12:03:09] Anton "Flar" Chernyshev: и ты зайдя на сам сервак по РДП можешь "впихнуть себя" вторым управляющим(!) лицом в чужой сеанс
[18.06.2015 12:03:15] Anton "Flar" Chernyshev: но тебе я думаю это не надо
[18.06.2015 12:03:27] Anton "Flar" Chernyshev: тебе надо тупо подключатся по имени компа к текущей сесси
[18.06.2015 12:04:10] Evgeniy "Katarn" Minovskiy: типа так
Mstsc /shadow:1 /v:ws1211 /control
[18.06.2015 12:04:13] Evgeniy "Katarn" Minovskiy: ?
[18.06.2015 12:05:36] Evgeniy "Katarn" Minovskiy: кажись понял. Буду пробывать. Спасибо, Тоха.
[18.06.2015 12:06:41] Anton "Flar" Chernyshev: да, так.
[18.06.2015 12:06:56] Anton "Flar" Chernyshev: если на целевом компе разрешено ваще обрабатывать такие запросы.
[18.06.2015 12:32:07] Evgeniy "Katarn" Minovskiy: хм. Политику сделал, обновил на серваке и на своем компе + на компе у коллеги. "Отказано в доступе". В т.ч. с доменника, в т.ч. от имени доменного админа
[18.06.2015 12:32:29] Anton "Flar" Chernyshev: ты уверен что правильно ее сконфигурировал?
[18.06.2015 12:32:44] Evgeniy "Katarn" Minovskiy: пытался подключаться этой строкой
Mstsc /shadow:1 /v: ws1211 /control
[18.06.2015 12:33:00] Anton "Flar" Chernyshev: [18 червня 2015 р. 12:32] Evgeniy "Katarn" Minovskiy:
<<< /v: ws1211пробел лишний
[18.06.2015 12:33:12] Evgeniy "Katarn" Minovskiy: я изменил/добавил ровно вот это
http://ryanmangansitblog.files.wordpress.com/2014/01/shadowing-gp-setting-required-computer-policy.png?w=1024&h=944
[18.06.2015 12:33:16] Evgeniy "Katarn" Minovskiy: не лишний
[18.06.2015 12:33:23] Evgeniy "Katarn" Minovskiy: без пробела "не верное имя компьютера"
[18.06.2015 12:33:43] Anton "Flar" Chernyshev: хм. у меня без пробела.
[18.06.2015 12:33:51] Anton "Flar" Chernyshev: он пингуется, этот комп?
[18.06.2015 12:34:14] Anton "Flar" Chernyshev: как обновил политику у обоих?
[18.06.2015 12:34:24] Anton "Flar" Chernyshev: gpupdate /force, дождаться выполнения и ребут?
[18.06.2015 12:35:16] Evgeniy "Katarn" Minovskiy: без ребута
[18.06.2015 12:35:27] Anton "Flar" Chernyshev: ребутни.
[18.06.2015 12:35:34] Evgeniy "Katarn" Minovskiy: + у меня доменный юзверь тут...ща
[18.06.2015 12:35:41] Anton "Flar" Chernyshev: политика ГПО что делает - изменяет запись в реестре для локальной
[18.06.2015 12:35:54] Anton "Flar" Chernyshev: локальная применяется когда? либо при старте ядра либо при логине юзера
[18.06.2015 12:35:57] Anton "Flar" Chernyshev: в зависимости от сферы
[18.06.2015 12:36:47] Anton "Flar" Chernyshev: доменный юзер - ок
[18.06.2015 12:36:49] Anton "Flar" Chernyshev: так и надо
[18.06.2015 12:37:06] Anton "Flar" Chernyshev: просто твой доменный юзер должен иметь права локлаьного админа на удаленном компе, для надежности
[18.06.2015 12:40:30] Evgeniy "Katarn" Minovskiy: имеет. Всеравно отказано в доступе...так, мб я где-то лажанул.
Что бы перепроверить себя - что бы политика работала ее нужно связать с доменом, так?
[18.06.2015 12:41:10] Anton "Flar" Chernyshev: с объектом
[18.06.2015 12:42:20] Evgeniy "Katarn" Minovskiy: ну да "Связать существующий объект групповой политики..."
Жека
mstsc.exe /? имеется опция /shadow ?
да звучит как /shadow:
[18.06.2015 17:22:29] Anton "Flar" Chernyshev: значит ок.
[18.06.2015 17:22:38] Anton "Flar" Chernyshev: твой доменный юзер точно локальный админ на соседней машине?
[18.06.2015 17:23:10] Evgeniy "Katarn" Minovskiy: условие именно такое, нельзя заюзать доменного админа?
[18.06.2015 17:23:31 | Змінено в 17:23:37] Evgeniy "Katarn" Minovskiy: ибо в таком случае нужно команду выполнять от имени "универсального" локального админа
[18.06.2015 17:23:57] Anton "Flar" Chernyshev: ты выполняешь команду от своего юзера
[18.06.2015 17:24:09] Anton "Flar" Chernyshev: так что лучше чтобы у твоего доменного юзера были права на той локальной машине
[18.06.2015 17:24:44] Evgeniy "Katarn" Minovskiy: ну мой юзер в группе доменных админов...завтра попробую сделать от имени локал админа, глянем.
[18.06.2015 17:25:53] Anton "Flar" Chernyshev: угу. тупо в локальную группу "администраторы" добавляй учетку свою
[18.06.2015 17:37:02] Evgeniy "Katarn" Minovskiy: политикой добавить на все компы меня в локального админа?....а можно финт ушами? Политикой добавить группу доменных админов в группу локальных? :D
[18.06.2015 17:37:59] Anton "Flar" Chernyshev: я бы не советовал. не секурно.
[18.06.2015 17:38:10] Anton "Flar" Chernyshev: отдельную группу делай, "locadmin" например
[18.06.2015 17:38:15] Anton "Flar" Chernyshev: в нее закинь всех своих коллег
[18.06.2015 17:38:23] Anton "Flar" Chernyshev: и уже её - в локальные администраторы на компах
***
Если у кого читающих сей пост есть что добавить - в комментах, пожалуйста линки и/или советы ))
Update 2015-06-24
http://habrahabr.ru/post/147273/
Подключение к удаленному рабочему окну пользователя, при этом текущий сеанс связи у пользователя не обрывается. То есть режим, аналогичный подключению с помощью TeamViewer, но внутри Activ Directory (Windows Server 2012)
Пока конспект. Переосмысливать буду на следующей неделе.
В данный момент голова УЖЕ "не варит" ж:(((
[конспект присланного чужого опыта (КАК)]
From: Мін
Sent: Friday, June 19, 2015 3:10 PM
Subject: "Тихое" подключение к пользователю
Дополнительно кидаю мою переписку с человеком, который мне это посоветовал.
---
1.
Mstsc /shadow:1 /v:[HOST NAME] /control - удаленное подключение в текущую сессию пользователя
pc-support тут - имя компа
Permissions
In order to be able to perform Shadowing you need permissions. If no permissions are in place it will result in the error below.
image
Being local administrator on the destination server obviously works. However, to allow non-administrators permissions to shadow you can use the following command which
is also applicable for Windows Server 2008 R2 (Credits for this command go to fellow RDS MVP TP who posted this on TechNet Forum.
wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "domain\group",2
Than concludes this blog post on the reintroduction or Remote Control (shadowing) in Windows Server 2012 R2.
http://blogs.technet.com/b/askperf/archive/2013/10/22/windows-8-1-windows-server-2012-r2-rds-shadowing-is-back.aspx
http://ryanmangansitblog.com/2014/01/23/shadowing-rds-2012-sessions/
локальные политики, "Full control without user`s permission"
-- 2. (переписка по поводу) --
[18.06.2015 11:23:15] Anton "Flar" Chernyshev: есишо дам скрипт в екзешнике тупо вызывающий окно ввода имени компа
[18.06.2015 11:23:26] Anton "Flar" Chernyshev: но в АД политику надо предварительно настроить разлить и применить
[18.06.2015 11:25:17] Evgeniy "Katarn" Minovskiy: Намного лучше самому разобраться и запустить, чем готовое.
[18.06.2015 11:28:08] Anton "Flar" Chernyshev: ну ты с АД лучше разберись.
[18.06.2015 11:28:16] Evgeniy "Katarn" Minovskiy: ех, не дадут мне внутринную переписку саппорта циклума почитать :)
[18.06.2015 11:28:31] Anton "Flar" Chernyshev: политика простая, изменяет одну настройку локальной политике
[18.06.2015 11:29:06] Evgeniy "Katarn" Minovskiy: НО. Если я на компе домена юзаю права учетки доменного админа, нужна ли мне политика?
[18.06.2015 11:29:22] Anton "Flar" Chernyshev: ты читал что написано в описании политики?
[18.06.2015 11:29:27] Anton "Flar" Chernyshev: эта фича по дефолту ОТКЛЮЧЕНА
[18.06.2015 11:29:41] Anton "Flar" Chernyshev: ты НЕ МОЖЕШЬ (кем бы ни бы) вламыватся в сессию текущего пользователя
[18.06.2015 11:30:01] Anton "Flar" Chernyshev: и надо её включит либо с разрешением подключения от юзера либо без разрешения
[18.06.2015 11:30:13] Anton "Flar" Chernyshev: проще всего включить политикой
Тох, сорри. Я не совсем понял, этот шадоувинг работает при тонких клиентах или конектиться к сессии юзверя домена (пофиг какой клиент, в т.ч. обычный пк)? Не хочу делать в тихаря, а представить начальству (фича то полезная).
[18.06.2015 12:00:14] Anton "Flar" Chernyshev: ну смари
[18.06.2015 12:00:17] Anton "Flar" Chernyshev: стоят два компа.
[18.06.2015 12:00:23] Anton "Flar" Chernyshev: оба в домене
[18.06.2015 12:00:35] Anton "Flar" Chernyshev: на одном из них залогинен ты, на втором вася пупкин
[18.06.2015 12:00:59] Anton "Flar" Chernyshev: ты находишься в группе, которая по правилам домена имеет права локального админа на всех компах
[18.06.2015 12:01:22] Anton "Flar" Chernyshev: вводишь в "выполнить" ту строчку
[18.06.2015 12:01:38] Anton "Flar" Chernyshev: у Васи вылазит окошко "К вам подключаются. Разрешить?"
"да", "нет"
[18.06.2015 12:01:54] Evgeniy "Katarn" Minovskiy: или через домен контроллер подключиться, так?
[18.06.2015 12:02:05] Anton "Flar" Chernyshev: что значит "через домен контроллер подключитсья"?
[18.06.2015 12:02:19] Evgeniy "Katarn" Minovskiy: http://blogs.technet.com/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-00-54-33-metablogapi/2480.clip_5F00_image002_5F00_thumb_5F00_496E1529.jpg
[18.06.2015 12:02:32] Anton "Flar" Chernyshev: вопервых, это 12я серверная
[18.06.2015 12:02:42] Evgeniy "Katarn" Minovskiy: у меня доменника 2 2008 и 2012
[18.06.2015 12:02:50] Anton "Flar" Chernyshev: во вторых, это работает, если сервак - терминальный сервак ,и на нём сидят юзеры.
[18.06.2015 12:03:01] Evgeniy "Katarn" Minovskiy: угу...теперь понял
[18.06.2015 12:03:09] Anton "Flar" Chernyshev: и ты зайдя на сам сервак по РДП можешь "впихнуть себя" вторым управляющим(!) лицом в чужой сеанс
[18.06.2015 12:03:15] Anton "Flar" Chernyshev: но тебе я думаю это не надо
[18.06.2015 12:03:27] Anton "Flar" Chernyshev: тебе надо тупо подключатся по имени компа к текущей сесси
[18.06.2015 12:04:10] Evgeniy "Katarn" Minovskiy: типа так
Mstsc /shadow:1 /v:ws1211 /control
[18.06.2015 12:04:13] Evgeniy "Katarn" Minovskiy: ?
[18.06.2015 12:05:36] Evgeniy "Katarn" Minovskiy: кажись понял. Буду пробывать. Спасибо, Тоха.
[18.06.2015 12:06:41] Anton "Flar" Chernyshev: да, так.
[18.06.2015 12:06:56] Anton "Flar" Chernyshev: если на целевом компе разрешено ваще обрабатывать такие запросы.
[18.06.2015 12:32:07] Evgeniy "Katarn" Minovskiy: хм. Политику сделал, обновил на серваке и на своем компе + на компе у коллеги. "Отказано в доступе". В т.ч. с доменника, в т.ч. от имени доменного админа
[18.06.2015 12:32:29] Anton "Flar" Chernyshev: ты уверен что правильно ее сконфигурировал?
[18.06.2015 12:32:44] Evgeniy "Katarn" Minovskiy: пытался подключаться этой строкой
Mstsc /shadow:1 /v: ws1211 /control
[18.06.2015 12:33:00] Anton "Flar" Chernyshev: [18 червня 2015 р. 12:32] Evgeniy "Katarn" Minovskiy:
<<< /v: ws1211пробел лишний
[18.06.2015 12:33:12] Evgeniy "Katarn" Minovskiy: я изменил/добавил ровно вот это
http://ryanmangansitblog.files.wordpress.com/2014/01/shadowing-gp-setting-required-computer-policy.png?w=1024&h=944
[18.06.2015 12:33:16] Evgeniy "Katarn" Minovskiy: не лишний
[18.06.2015 12:33:23] Evgeniy "Katarn" Minovskiy: без пробела "не верное имя компьютера"
[18.06.2015 12:33:43] Anton "Flar" Chernyshev: хм. у меня без пробела.
[18.06.2015 12:33:51] Anton "Flar" Chernyshev: он пингуется, этот комп?
[18.06.2015 12:34:14] Anton "Flar" Chernyshev: как обновил политику у обоих?
[18.06.2015 12:34:24] Anton "Flar" Chernyshev: gpupdate /force, дождаться выполнения и ребут?
[18.06.2015 12:35:16] Evgeniy "Katarn" Minovskiy: без ребута
[18.06.2015 12:35:27] Anton "Flar" Chernyshev: ребутни.
[18.06.2015 12:35:34] Evgeniy "Katarn" Minovskiy: + у меня доменный юзверь тут...ща
[18.06.2015 12:35:41] Anton "Flar" Chernyshev: политика ГПО что делает - изменяет запись в реестре для локальной
[18.06.2015 12:35:54] Anton "Flar" Chernyshev: локальная применяется когда? либо при старте ядра либо при логине юзера
[18.06.2015 12:35:57] Anton "Flar" Chernyshev: в зависимости от сферы
[18.06.2015 12:36:47] Anton "Flar" Chernyshev: доменный юзер - ок
[18.06.2015 12:36:49] Anton "Flar" Chernyshev: так и надо
[18.06.2015 12:37:06] Anton "Flar" Chernyshev: просто твой доменный юзер должен иметь права локлаьного админа на удаленном компе, для надежности
[18.06.2015 12:40:30] Evgeniy "Katarn" Minovskiy: имеет. Всеравно отказано в доступе...так, мб я где-то лажанул.
Что бы перепроверить себя - что бы политика работала ее нужно связать с доменом, так?
[18.06.2015 12:41:10] Anton "Flar" Chernyshev: с объектом
[18.06.2015 12:42:20] Evgeniy "Katarn" Minovskiy: ну да "Связать существующий объект групповой политики..."
Жека
mstsc.exe /? имеется опция /shadow ?
да звучит как /shadow:
[18.06.2015 17:22:29] Anton "Flar" Chernyshev: значит ок.
[18.06.2015 17:22:38] Anton "Flar" Chernyshev: твой доменный юзер точно локальный админ на соседней машине?
[18.06.2015 17:23:10] Evgeniy "Katarn" Minovskiy: условие именно такое, нельзя заюзать доменного админа?
[18.06.2015 17:23:31 | Змінено в 17:23:37] Evgeniy "Katarn" Minovskiy: ибо в таком случае нужно команду выполнять от имени "универсального" локального админа
[18.06.2015 17:23:57] Anton "Flar" Chernyshev: ты выполняешь команду от своего юзера
[18.06.2015 17:24:09] Anton "Flar" Chernyshev: так что лучше чтобы у твоего доменного юзера были права на той локальной машине
[18.06.2015 17:24:44] Evgeniy "Katarn" Minovskiy: ну мой юзер в группе доменных админов...завтра попробую сделать от имени локал админа, глянем.
[18.06.2015 17:25:53] Anton "Flar" Chernyshev: угу. тупо в локальную группу "администраторы" добавляй учетку свою
[18.06.2015 17:37:02] Evgeniy "Katarn" Minovskiy: политикой добавить на все компы меня в локального админа?....а можно финт ушами? Политикой добавить группу доменных админов в группу локальных? :D
[18.06.2015 17:37:59] Anton "Flar" Chernyshev: я бы не советовал. не секурно.
[18.06.2015 17:38:10] Anton "Flar" Chernyshev: отдельную группу делай, "locadmin" например
[18.06.2015 17:38:15] Anton "Flar" Chernyshev: в нее закинь всех своих коллег
[18.06.2015 17:38:23] Anton "Flar" Chernyshev: и уже её - в локальные администраторы на компах
***
Если у кого читающих сей пост есть что добавить - в комментах, пожалуйста линки и/или советы ))
Update 2015-06-24
http://habrahabr.ru/post/147273/